Přehled
V březnu 2023 došlo u významného zákazníka společnosti Microsoft k sérii spamových kybernetických útoků, které způsobily výpadky systému zákazníka.
Co bylo příčinou? Příval podvodně vytvořených účtů služeb Microsoft Outlook a Hotmail, které se snažily využívat výhody služeb zákazníkům poskytovaných potenciálním uživatelům jako zkušební verze, přestože tyto falešné účty neměly v úmyslu za tyto služby nikdy platit. V důsledku toho zákazník zablokoval všechny nové registrace účtů z adres služeb Microsoft Outlook a Hotmail.
Ve skutečnosti za tímto útokem stálo větší podvodné uskupení se sídlem ve Vietnamu – skupina, kterou Microsoft označuje jako Storm-1152.
Skupina Storm-1152 provozovala nelegální weby a stránky na sociálních sítích a prodávala podvodné účty Microsoft a nástroje pro obcházení softwaru pro ověřování totožnosti na známých technologických platformách. Služby skupiny Storm-1152 fungují jako brána pro kybernetické trestné činy tím, že snižují čas a úsilí potřebné pro páchání řady trestných činů a zneužívání na internetu a usnadňují práci pachatelům trestné činnosti. Celkem tato skupina vytvořila přibližně 750 milionů podvodných účtů Microsoftu určených k prodeji, což jí vyneslo miliony dolarů na nelegálních příjmech a společnostem to způsobilo další ztráty v souvislosti s nutností vynakládat prostředky na boj proti jejich trestné činnosti.
Ukázalo se, že účty skupiny Storm-1152 používalo více skupin, které se zabývaly ransomwarem, krádežemi dat a vydíráním. Patřily mezi ně skupiny Octo Tempest, Storm-0252, Storm-0455 a další. Díky prodeji účtů se tato skupina stala jedním z největších online poskytovatelů kybernetických trestných činů jako služby.
Společnost Microsoft sledovala nárůst této škodlivé činnosti od roku 2022 a stále častěji používala algoritmy strojového učení k prevenci a odhalování pozorovaných vzorců vytváření těchto podvodných účtů. Na jaře 2023 však byl dosažen bod zlomu v důsledku rostoucího zneužívání platforem společnosti Microsoft a partnerů. Bylo nutné přijmout razantnější opatření. Vytvořili jsme proto tým zahrnující Microsoft a našeho partnera Arkose Labs.
Výsledkem tohoto koordinovaného úsilí bylo, že oddělení Digital Crimes Unit (DCU) společnosti Microsoft podniklo v prosinci 2023 prvníprávní kroky k zajištění a vypnutí webů, které skupina Storm-1152 používala k prodeji svých služeb. Bezprostředně po této akci jsme zaznamenali přibližně 60% pokles počtu registrací uživatelů. Tento pokles přesně odpovídá 60 % (či více) registrací, které naše algoritmy nebo partneři později označili za zneužívající a které jsme následně pozastavili, aby nemohly využívat služby společnosti Microsoft. 23. července jsme podali druhou občanskoprávní žalobu s cílem narušit novou infrastrukturu, kterou se tato skupina pokusila vytvořit po naší prosincové žalobě.
Tato zpráva o vznikajících hrozbách přibližuje zákulisí této akce a zdůrazňuje význam spolupráce v našem odvětví při potírání kybernetických hrozeb. Tento případ je příkladem toho, jak může naše odvětví využívat právní cesty, pomáhat tak odradit jiné skupiny a zajistit bezpečnost jednotlivců v online prostředí. Vypovídá také o důležitosti neustálého narušování činnosti škodlivých aktérů a o tom, že právní kroky zůstávají účinnou metodou proti kyberzločincům, i když mění svou taktiku. Nakonec platí, že žádná operace není jednorázová.
Sledujte zabezpečení od Microsoftu